|
Research
|
Blog
|
Newsletter
|
Websession
|
EN

Java-basierte Ransomware bedroht Linux- und Windows-Systeme

10. Juni 2020

Eine neue Ransomware bedroht sowohl Windows- als auch Linux-Rechner. Die kriminellen Hintermänner verfolgen dabei offenbar eine gezielte Strategie bei der Auswahl der Opfer, denn es sind insbesondere Bildungseinrichtungen und die Softwareindustrie betroffen. Das berichten Sicherheitsforscher von BlackBerry in Zusammenarbeit mit Sicherheitsanalysten von KPMG. Das besondere an der Malware namens Tycoon ist seine Bereitstellung als trojanisierte Java Runtime Environment. Seine bösen Absichten verbirgt das Programm dabei hinter einer Java-Image-Datei.

Die Entdecker von Tycoon betonen, dass Java nur äußerst selten bei der Kodierung einer Endpunkt-Malware zum Einsatz komme, denn die Java-Laufzeitumgebung muss den Code immerhin auch ausführen. Auch die Verwendung einer Bilddatei ist äußerst ungewöhnlich. Hintergrund könne laut BlackBerry sein, dass Angreifer bei der Nutzung ungewöhnlicher Datenformate ihren Code nicht verschleiern müssten, um das gewünschte Ergebnis zu erreichen.

Weniger außergewöhnlich ist die erste Phase des Angriffs: Eingeschleust wird die Ransomware über unsichere Remote Desktop Protocol (RDP) Server, also Server, die den Fernzugriff auf Rechner ermöglichen. Dieser Angriffsvektor ist bereits seit längerem bekannt und kommt häufig zum Einsatz, da unsichere, schwache oder kompromittierte Kennwörter den Angriff erleichtern. Danach verwenden die Angreifer die IFEO-Einstellungen (Image File Execution Options), mit denen Entwickler normalerweise Software debuggen können. Darüber hinaus werden Berechtigungen eingesetzt, um Anti-Malware-Software mithilfe von ProcessHacker zu deaktivieren. Dadurch entgeht Tycoon der Entdeckung und Entfernung durch die Schutzsoftware. Danach verschlüsselt die Malware das Netzwerk, wobei Dateierweiterungen wie .redrum, .grinch oder .thanos zum Einsatz kommen und die Lösegeldforderung in Form von Bitcoin geht an die Opfer. Der Preis hängt soll davon abhängen, wie schnell das Opfer darauf reagiert.

Die Entdecker von Tycoon weisen außerdem darauf hin, dass Ähnlichkeiten in den verwendeten E-Mail-Adressen, den Namen der verschlüsselten Dateien und im Text der Lösegeldforderung auf eine Verbindung zu einer Ransomware namens Dharma, auch als Crysis bekannt, hindeuten.

Zum Schutz vor derartigen Angriffen empfiehlt es sich, den Zugang zum Internet in Netzwerken auf ein absolut notwendiges Minimum zu reduzieren. Darüber hinaus sollten sichere und starke Passwörter zum Einsatz kommen, die regelmäßig geändert werden. Die Installation von Sicherheitsupdates versteht sich eigentlich in diesem Zusammenhang von selbst. Sollte es dennoch zu einer Infektion mit Ransomware kommen, helfen Sicherungskopien auf vollständig unabhängigen Speichern dabei, die Daten wiederherzustellen, ohne auf die Forderungen der Kriminellen einzugehen.

Bild (c) Clker-Free-Vector-Images / Pixabay

Zurück zur Blog-übersicht
Zurück zuM Research-Blog
Alle Mitarbeiter-Interviews